グーグルドキュメント、アップワーク、リンクトイン：北朝鮮IT労働者の秘密暗号作戦の内幕

人気のブロックチェーンスルースZachXBTによる調査で、世界の暗号通貨開発職市場に北朝鮮が広範囲に浸透していることが明らかになった。無名の情報源は最近、北朝鮮のIT労働者のデバイスを侵害し、5人のIT労働者の小さなチームが30以上の偽のIDをどのように操作していたかについて、前例のない洞察を提供した。ZachXBTのツイートによると、朝鮮民主主義人民共和国のチームは、政府発行のIDを使ってUpworkとLinkedInにアカウントを登録し、複数のプロジェクトで開発者の役割を得ていたという。調査員は、作業員のグーグルドライブ、クロームのプロフィール、スクリーンショットのエクスポートを発見し、グーグル製品がスケジュール、タスク、予算の編成の中心となっており、コミュニケーションは主に英語で行われていたことを明らかにした。ドキュメントの中には、チームメンバーからの週報を含む2025年のスプレッドシートがあり、彼らの内部業務や考え方が明らかになった。典型的な記載内容としては、「仕事の要求が理解できない：心に十分な努力をする。"別のスプレッドシートは支出を追跡し、社会保障番号、アップワークやリンクトインのアカウント、電話番号、AIの購読、コンピューターのレンタル、VPNやプロキシ・サービスの購入を示している。ミーティングのスケジュールや、"Henry Zhang "名義を含む偽ID用のスクリプトも回収された。このチームの活動方法には、コンピュータの購入やレンタル、AnyDeskを使用したリモートワーク、Payoneerを経由した暗号通貨への換金が含まれていたと報告されている。このグループに関連する1つのウォレットアドレス0x78e1は、2025年6月にFavrrで発生した68万ドルのエクスプロイトとオンチェーンでリンクしており、このプロジェクトのCTOと他の開発者は、後に不正な書類を使用した北朝鮮のIT労働者であることが特定された。0x78e1アドレス経由でプロジェクトに接続されている北朝鮮に関連する労働者は他にもいました。彼らの北朝鮮出身を示す指標として、ロシアのIPアドレスから行われた韓国語検索でGoogle翻訳が頻繁に使用されていることが挙げられる。ZachXBTは、これらのIT労働者は特に洗練されているわけではないが、彼らが世界中でターゲットにしている役割の数が非常に多いため、彼らの持続性は強化されていると述べている。これらの作戦に対抗する上での課題としては、民間企業やサービス間の連携が不十分であることや、不正行為が報告された際のチームからの抵抗などが挙げられる。北朝鮮の持続的脅威 北朝鮮のハッカー、特にラザロ・グループは、業界にとって重大な脅威であり続けている。同グループは2025年2月、ドバイを拠点とするBybitから約15億ドルのイーサリアムを盗み出し、史上最大の暗号取引所ハッキングを指揮した。この攻撃は、サードパーティのウォレットプロバイダーであるSafe{Wallet}の脆弱性を悪用したもので、ハッカーはマルチシグネチャーのセキュリティ対策を迂回し、複数のウォレットに資金を吸い上げることができた。FBIはこの侵入を北朝鮮の工作員によるものとし、「TraderTraitor」と名付けた。続いて2025年7月、インドの暗号通貨取引所CoinDCXが4400万ドルの強盗被害に遭ったが、これもラザロ・グループとの関連が指摘されている。攻撃者はCoinDCXの流動性インフラに侵入し、暴露された内部認証情報を悪用して窃盗を実行した。The post Google Docs, Upwork, and LinkedIn：北朝鮮のIT労働者の秘密の暗号作戦の内部はCryptoPotatoに最初に登場した。

https://cryptopotato.com/google-docs-upwork-and-linkedin-inside-north-korean-it-workers-secret-crypto-operations/